2025年-信息安全产品开发实践

**大学**学院信息安全产品开发实践课程设计报告题目缓冲区溢出的保护学生姓名______________学号____________年级_________________指导老师____________指导老师评阅意见______________________指导老师评分__________________________提交时间2007年12月缓冲区溢出的保护批注[微软用户1]:（软件工程专业）学生学号指导教师摘要1999年Bugtraq（一个讨论安全缺陷的邮件列表）进行的一次非正式调查发现，三分之二的参与者认为第一号的缺陷就是缓冲区溢出从1997年到2007年3月，CERT/CC发出的半数安全警报都基于缓冲区缺陷面对如此大的威胁，我们需要知道什么是缓冲区溢出，如何防止它们，可以采用哪些最新的自动化工具来防止它们以及为什么这些工具还不足够，还有如何在编写程序的程序中防止它们关键字缓冲区溢出；溢出保护；溢出防御Detection OfBuffer OverflowAbstract:From aninformal investigationon Bugtraqa maillist whichdiscuss alimitation onsecurity in1999,we canfind thattwo-parts participantsthought thatthe No.l limitationis bufleroverflow.From1997toMay,2007,almost halfthe securewarnings sentby CERT/CC werebased onthe limitationof buffer.Facing suchahuge menace,we needto learnwhat isthe bufferoverflow,how todefend them,which kindsof thelatestautomatization toolswe canused foravoid them,why thesetools stillnot enough,and howto preventthem inprogramming.Keywords:Buffer Overflow,Overflow Detection,,Overflow Defense正文绪论1立题背景

1.1缓冲区溢出是当前一些软件存在的最常见的安全隐患之一，通过提供一个恶意的输入黑客可以改变进程的执行流程，缓冲区溢出能够威胁到整个进程，机器，甚至相关的系统领域如果运行的进程是在权限比较高的用户下面，比如administrator或者本地的系统帐户（LocalSystem Account）,那么黑客破坏所导致的损失将会很严重而且将会面临更广泛的潜在危胁最近时期爆发的一些众所周知的病毒像，红色代码病毒和震荡波蠕虫病毒,都是C/C++代码里存在着缓冲区溢出的结果研究内容

1.2在几乎所有计算机语言中，不管是新的语言还是旧的语言，使缓冲区溢出的任何尝试通常都会被该语言本身自动检测并阻止（比如通过引发一个异常或根据需要给缓冲区添加更多空间）但是有两种语言不是这样C和C++语言C和C++语言通常只是让额外的数据乱写到其余内存的任何位置，而这种情况可能被利用从而导致恐怖的结果更糟糕的是，用C和C++编写正确的代码来始终如一地处理缓冲区溢出则更为困难；很容易就会意外地导致缓冲区溢出除了C和C++使用得非常广泛外，上述这些可能都是不相关的事实；例如，Red HatLinux

7.1中86%的代码行都是用C或C++编写的因此，大量的代码对这个问题都是脆弱的，因为实现语言无法保护代码避免这个问题在C和C++语言本身中，这个问题是不容易解决的该问题基于C语言的根本设计决定（特别是C语言中指针和数组的处理方式）由于C++是最兼容的C语言超集，它也具有相同的问题存在一些能防止这个问题的C/C++兼容版本，但是它们存在极其严重的性能问题而且一旦改变C语言来防止这个问题，它就不再是C语言了许多语言（比如Java和C#）在语法上类似C,但它们实际上是不同的语言，将现有C或C++程序改为使用那些语言是一项艰巨的任务有些语言存在允许缓冲区溢出发生的ldqu;转义rdqu;子句Ada一般会检测和防止缓冲区溢出（即针对这样的尝试引发一个异常），但是不同的程序可能会禁用这个特性C#一般会检测和防止缓冲区溢出，但是它允许程序员将某些例程定义为“不安全的”，而这样的代码可能会导致缓冲区溢出因此如果您使用那些转义机制，就需要使用C/C++程序所必须使用的相同种类的保护机制许多语言都是用C语言来实现的（至少部分是用C语言来实现的）,并且用任何语言编写的所有程序本质上都依赖用C或C++编写的库因此，所有程序都会继承那些问题，所以了解这些问题是很重要的缓冲区溢出的概述

2.缓冲区溢出的起源

2.1内存溢出已经是软件开发历史上存在了近40年的“老大难”问题缓冲区溢出如何工作

2.2计算机还有由程序共享，随机访问内存RAM为了简化，内存管理Windows XPSP2有功能控制当前正在使用哪段的RAM如果启动程序，释放内存分配给程序该内存被分为三段•代码段此处存储程序特定执行命令•数据段此处程序特定数据存储•堆栈是数据段一部分此处存储所有与程序函数这包括参数、缓冲区存储本地变量以及，最重要、返回地址返回地址指定执行函数后，程序将继续从作为是由用户输入该信息也注册作为变量，一切，发送到堆栈用户类型不通常,此行为不提出问题但是，如果因编程错误，超过缓冲区限制堆栈成为容易控制整个段被指定为本地变量例如，如果攻击者选择适当项对于攻击，可能会覆盖用指令此外,后续返回地址可更改为指向恶意代码因此，程序不再正常，但盲目执行攻击者的命令内存的底部内存的顶部bufferl sfpret ab c—增长--.堆栈的顶部堆栈的底部许多计算机处理器，包括所有x86处理器，都支持从高位地址向低位地址1到”增长堆栈因此，每当一个函数调用另一个函数，更多的数据将被添加到左边低位地址，直至系统的堆栈空间耗尽在这个例子中，当mainO调用functionlO时，它将c的值压入堆栈，然后压入b的值，最后压入a的值之后它压入return ret值，这个值在functionl完成时告诉functionl返回到main中的何处它还把所谓的“已保存的帧指针saved framepointer,sfp”记录到堆栈上;这并不是必须保存的内容，此处我们不需要理解它在任何情况下，functionlO在启动以后，它会为bufferl预留空间，这在图1中显示为具有一个低地址位置现在假设攻击者发送了超过bufferl0所能处理的数据接下来会发生什么情况呢？当然，C和C++程序员不会自动检查这个问题，因此除非程序员明确地阻止它，否则下一个值将进入内存中的“下一个”位置那意味着攻击者能够改写sfp即已保存的帧指针），然后改写ret（返回地址）之后，当functionlO完成时，它将“返回”一一不过不是返回到mainO,而是返回到攻击者想要运行的任何代码通常攻击者会使用它想要运行的恶意代码来使缓冲区溢出，然后攻击者会更改返回值以指向它们已发送的恶意代码这意味着攻击者本质上能够在一个操作中完成整个攻击！AlephOn的文章（请参阅参考资料）详细介绍了这样的攻击代码是如何创建的例如，将一个ASCII0字符压入缓冲区通常是很困难的，而该文介绍了攻击者一般如何能够解决这个问题除了smashing-stack和更改返回地址外，还存在利用缓冲区溢出缺陷的其他途径与改写返回地址不同，攻击者可以smashing-stack（使堆栈上的缓冲区溢出），然后改写局部变量以利用缓冲区溢出缺陷缓冲区根本就不必在堆栈上一一它可以是堆中动态分配的内存（也称为“malloc”或“new”区域），或者在某些静态分配的内存中（比如“global”或“static”内存）基本上，如果攻击者能够溢出缓冲区的边界，麻烦或许就会找上你了然而，最危险的缓冲区溢出攻击就是stack-smashing攻击，因为如果程序对攻击者很脆弱，攻击者获得整个机器的控制权就特别容易缓冲区溢出分类

2.

32.

3.

1.在程序的地址空间里安排适当的代码

2.

3.

1.1殖入法攻击者用被攻击程序的缓冲区来存放攻击代码攻击者向被攻击的程序输入一个字符串，程序会把这个字符串放到缓冲区里这个字符串包含的数据是可以在这个被攻击的硬件平台上运行的指令序列

2.

3.

1.2利用已经存在的代码有时候，攻击者想要的代码已经在被攻击的程序中了，攻击者所要做的只是对代码传递一些参数，然后使程序跳转到指定目标比如，在C语言中，攻击代码要求执行“exec（〃/bin/sh〃）”，而在libc库中的代码执行aexec（arg）,,,其中arg是指向一个字符串的指针参数，那么攻击者只要把传入的参数指针指向7bin/sh〃，就可以调转到libc库中的相应的指令序列

2.

3.

2.控制程序转移到攻击代码这种方法旨在改变程序的执行流程，使之跳转到攻击代码最基本方法的就是溢出一个没有边界检查或者其他弱点的缓冲区，这样就扰乱了程序的正常的执行顺序通过溢出一个缓冲区，攻击者可以用近乎暴力的方法改写相邻的程序空间而直接跳过了系统的检查

3.

3.

2.1激活纪录（Activation Records）每当一个函数调用发生时，调用者会在堆栈中留下一个激活纪录，它包含了函数结束时返回的地址攻击者通过溢出这些自动变量，使这个返回地址指向攻击代码通过改变程序的返回地址，当函数调用结束时，程序就跳转到攻击者设定的地址，而不是原先的地址这类的缓冲区溢出被称为stack smashingattack,是目前常用的缓冲区溢出攻击方式

4.

3.

2.2函数指针Function PointersC语言中，void*foo”声明了一个返回值为void函数指针的变量foo函数指针可以用来定位任何地址空间，所以攻击者只需在任何空间内的函数指针附近找到一个能够溢出的缓冲区，然后溢出这个缓冲区来改变函数指针在某一时刻，当程序通过函数指针调用函数时，程序的流程就按攻击者的意图实现了！它的一个攻击范例就是在Linux系统下的super probe程序

5.

3.

2.3长跳转缓冲区Longjmp buffers在C语言中包含了一个简单的检验/恢复系统，称为set jmp/longjmp意思是在检验点设定“set jmpbuffer”，用ulongjmpbuffer v来恢复检验点然而，如果攻击者能够进入缓冲区的空间，那么longjmpbuffer实际上是跳转到攻击者的代码象函数指针一样，longjmp缓冲区能够指向任何地方，所以攻击者所要做的就是找到一个可供溢出的缓冲区一个典型的例子就是Perl

5.003,攻击者首先进入用来恢复缓冲区溢出的的longjmp缓冲区，然后诱导进入恢复模式，这样就使Perl的解释器跳转到攻击代码上了！缓冲区溢出的保护

3.当然，要让程序员不犯常见错误是很难的，而让程序以及程序员改为使用另一种语言通常更为困难那么为何不让底层系统自动保护程序避免这些问题呢？最起码，避免stack-smashing攻击是一件好事，因为stack-smashing攻击是特别容易做到的一般来说，更改底层系统以避免常见的安全问题是一个极好的想法，我们在本文后面也会遇到这个主题事实证明存在许多可用的防御措施，而一些最受欢迎的措施可分组为以下类别

3.1基于探测方法canary的防御这包括StackGuard由Immunix所使用、ProPolice由OpenBSD所使用和Microsoft的/GS选项非执行的堆栈防御这包括Solar Designer的non-exec补丁由OpenWall所使用和execshield由Red Hat/Fedora所使用其他方法这包括libsafe由Mandrake所使用和堆栈分割方法遗憾的是，迄今所见的所有方法都具有弱点，因此它们不是万能药，但是它们会提供一些帮助

3.2基于探测方法的防御研究人员Crispen Cowan创建了一个称为StackGuard的有趣方法Stackguard修改C编译器gcc,以便将一个“探测”值插入到返回地址的前面“探测仪”就像煤矿中的探测仪它在某个地方出故障时发出警告在任何函数返回之前，它执行检查以确保探测值没有改变如果攻击者改写返回地址作为stack-smashing攻击的一部分，探测仪的值或许就会改变，系统内就会相应地中止这是一种有用的方法，不过要注意这种方法无法防止缓冲区溢出改写其他值攻击者仍然能够利用这些值来攻击系统）人们也曾扩展这种方法来保护其他值（比如堆上的值）Stackguard（以及其他防御措施）由Immunix所使用IBM的stack-smashing保护程序（ssp,起初名为ProPolice）是StackGuard的方法的一种变化形式像StackGuard一样，ssp使用一个修改过的编译器在函数调用中插入一个探测仪以检测堆栈溢出然而，它给这种基本的思路添加了一些有趣的变化它对存储局部变量的位置进行重新排序，并复制函数参数中的指针，以便它们也在任何数组之前这样增强了ssp的保护能力；它意味着缓冲区溢出不会修改指针值（否则能够控制指针的攻击者就能使用指针来控制程序保存数据的位置）默认情况下，它不会检测所有函数，而只是检测确实需要保护的函数（主要是使用字符数组的函数）从理论上讲，这样会稍微削弱保护能力，但是这种默认行为改进了性能，同时仍然能够防止大多数问题考虑到实用的因素，它们以独立于体系结构的方式使用gcc来实现它们的方法，从而使其更易于运用从2003年5月的发布版本开始，广受赞誉的OponBSD（它重点关注安全性）在他们的整个发行套件中使用了ssp（也称为ProPol ice）o

3.3非执行的堆栈防御另一种方法首先使得在堆栈上执行代码变得不可能遗憾的是，x86处理器（最常见的处理器）的内存保护机制无法容易地支持这点；通常，如果一个内存页是可读的，它就是可执行的一个名叫Solar Designer的开发人员想出了一种内核和处理器机制的聪明组合，为Linux内核创建了一个“非执行的堆栈补丁”；有了这个补丁，堆栈上的程序就不再能够像通常的那样在x86上运行°事实证明在有些情况下，可执行程序需要在堆栈上；这包括信号处理和跳板代码（trampoline）处理trampoline是有时由编译器（比如GNAT Ada编译器）生成的奇妙结构，用以支持像嵌套子例程之类的结构Solar Designer还解决了如何在防止攻击的同时使这些特殊情况不受影响的问题Linux中实现这个目的的最初补丁在1998年被Linus Torvalds拒绝，这是因为一个有趣的原因即使不能将代码放到堆栈上，攻击者也可以利用缓冲区溢出来使程序“返回”某个现有的子例程（比如C库中的某个子例程），从而进行攻击简而言之，仅只是拥有非可执行的堆栈是不足够的一段时间之后，人们又想出了一种防止该问题的新思路将所有可执行代码转移到一个称为“ASCII保护（ASCII armor）区域的内存区要理解这是如何工作的，就必须知道攻击者通常不能使用一般的缓冲区溢出攻击来插入ASCII NUL字符

（0）这个事实这意味着攻击者会发现，耍使一个程序返回包含0的地址是很困难的由于这个事实，将所有可执行代码转移到包含0的地址就会使得攻击该程序困难多了具有这个属性的最大连续内存范围是从0到0x01010100的一组内存地址，因此它们就被命名为ASCII保护区域（还有具有此属性的其他地址，但它们是分散的）与非可执行的堆栈相结合，这种方法就相当有价值了非可执行的堆栈阻止攻击者发送可执行代码，而ASCH保护内存使得攻击者难于通过利用现有代码来绕过非可执行堆栈这样将保护程序代码避免堆栈、缓冲区和函数指针溢出，而且全都不需重新编译然而，ASCII保护内存并不适用于所有程序；大程序也许无法装入ASCII保护内存区域（因此这种保护是不完美的），而且有时攻击者能够将0插入目的地址止匕外，有些实现不支持跳板代码，因此可能必须对需要这种保护的程序禁用该特性Red Hat的Ingo Molnar在他的exec-shield”补丁中实现了这种思想，该补丁由Fedora核心（可从Red Hat获得它的免费版本）所使用最新版本的OpenWall GNU/Linux（OWL）使用了Solar Designer提供的这种方法的实现（请参阅参考资料以获得指向这些版本的链接）

6.4其他方法还有其他许多方法一种方法就是使标准库对攻击更具抵抗力Lucent Technologies开发了Libsafe,这是多个标准C库函数的包装，也就是像strcpy（）这样已知的对stack-smashing攻击很脆弱的函数Libsafe是在LGPL下授予许可证的开放源代码软件那些函数的libsafe版本执行相关的检查，确保数组改写不会超出堆栈桢然而，这种方法仅保护那些特定的函数，而不是从总体上防止堆栈溢出缺陷，并且它仅保护堆栈,而不保护堆栈中的局部变量它们的最初实现使用了LD.PRELOAD,而这可能与其他程序产生冲突Linux的Mandrake发行套件包括了libsafe.总结

7.借助知识、谨慎和工具，C和C++中的缓冲区溢出缺陷是可以防止的不过做起来并没有那么容易，特别是在C中如果使用C和C++来编写安全的程序，您需要真正理解缓冲区溢出和如何防止它们一种替代方法是使用另一种编程语言，因为如今的几乎其他所有语言都能防止缓冲区溢出但是使用另一种语言并不会消除所有问题许多语言依赖c库，并且许多语言还具有关闭该保护特性的机制（为速度而牺牲安全性）但是即便如此，不管您使用哪种语言，开发人员都可能会犯其他许多错误，从而带来引入缺陷参考文献

8.【1】蒋佳，刘新喜，信息安全工程，机械工业出版社，

2003.48页

[2]FlashSky,Windows2003堆溢出及其利用技术深入研究，

2003.8页

[3]FlashSky,缓冲区溢出漏洞发掘模型,

2003.5【4】李涛，网络安全概论，北京电子工业出版者，

2004.445页

[5]启明星辰认证安全技术工程师培训

[6]网络信息安全概论

[7]Willian Stallings,网络安全基础教程（第二版），清华大学出版社,

2004.337页

[8]阙喜戎，赵耀，王纯，龚向阳，Windows系统中基于缓冲区溢出的攻击的分析,

2002.4页【9】姚奇富，网络安全技术，浙江大学出版社，2006,145页

[10]姚建东，秦军，古志民，两种新的缓冲区溢出攻击原理及防范，2006,5页。